La mayoría de la gente nunca tendrá que pensar en los certificados Secure Boot. Viven profundamente en el firmware de tu PC, hacen su trabajo en silencio y lo hacen desde 2011 sin pedir mucho a cambio. Pero esa tranquila carrera está a punto de terminar. Los certificados originales expiran en junio de 2026, y aunque Microsoft está enviando actualizaciones automáticamente a muchas máquinas, muchos PCs no se darán cuenta por completo. Así es como puedes averiguar si el tuyo es uno de ellos — y qué hacer realmente al respecto.
Paso 1: Comprueba si tu PC ya tiene los certificados actualizados
Antes de hacer cualquier otra cosa, averigua cuál es tu postura. La forma más rápida es a través de PowerShell.
Abre el menú Inicio, escribe PowerShell y selecciona Ejecutar como administrador. Una vez abierto, pega este comando exactamente como está escrito y pulsa Enter:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Recibirás un Verdadero o un Falso. True significa que tu PC ya tiene los certificados actualizados de 2023, y ya estás listo para usar. Falso significa que tu máquina sigue funcionando con las antiguas que están a punto de caducar — y tienes que seguir leyendo.
Paso 2: Ejecuta una actualización de Windows y comprueba actualizaciones de firmware OEM
Si tienes un False, tu primer paso es sencillo: abre Windows Update y comprueba si hay actualizaciones pendientes. Para la mayoría de los usuarios de Windows 11, los nuevos certificados se entregan de esta manera, y puede que ya te esté esperando una actualización rutinaria.
Si las actualizaciones no lo solucionan, especialmente en hardware antiguo, la solución puede tener que venir del fabricante de tu PC y no de Microsoft. Visita el sitio de soporte de tu fabricante — Dell, HP, Lenovo, ASUS y otros mantienen páginas dedicadas de firmware y controladores — y busca tu modelo específico. No todos los fabricantes soportan sistemas antiguos, pero merece la pena comprobarlo antes de asumir que ya no tienes opciones.
Paso 3: Si el firmware no es una opción, prueba el método manual del registro
Para situaciones en las que no hay una actualización de firmware disponible pero tu PC aún puede ejecutar una versión compatible de Windows 11, Microsoft ha documentado una solución que evita por completo la necesidad de tocar la BIOS.
Abre el Símbolo de Comando como administrador y ejecuta lo siguiente:
reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f Start-ScheduledTask -TaskName "MicrosoftWindowsPISecure-Boot-Update"Tendrás que reiniciar el PC un par de veces después de que esto funcione. Una vez que esté de nuevo en marcha, ejecuta la comprobación de PowerShell desde el Paso 1 para confirmar que los nuevos certificados se han aplicado correctamente.
Una nota para los usuarios de Windows 10: Microsoft ha dejado claro que las versiones no soportadas de Windows no recibirán los certificados actualizados. Si tienes Windows 10 sin una suscripción a Extended Security Update (ESU), nada de lo anterior te ayudará. Inscribirse en ESU antes de la fecha límite del 14 de octubre de 2026 es la única forma de mantenerse al día para la actualización del certificado — y ganarse ese tiempo extra merece la pena si actualizar a Windows 11 aún no está en las posibilidades.
